サイト更新情報
[Categories]
agile | angularjs | barbecue | birthday | body scoop | car | chuork01 | dinner | domin life | drive | event | fes | fishing | friend | gunpla | javascript | life | lunch | photo | ps3 | rails | ruby event | sake | software-development | sports snowboard | study event | sushi | sweets | techmix-hokkaido | torne | travel | vegetable garden | vim | weight training | whiskey | work

Ogagaga Diary


2011年05月20日 [長年日記]

Hokkaido.cap #3

今日も参加してきたので簡単なメモを残しておく。

ハッシュタグ:#docap

自己紹介

  • 今日はこいわさんがいなかったので普通の自己紹介をしてみた

ケーススタディ 基礎編

  • TCP の通信障害 tcp-con-lost.pcap
    • おかしいぱけっとは行が黒で表示されるので、この黒い部分に注目するとよい。
  • 届かないパケット destunreachable.pcap
    • なんかやまきさんのみていたファイルと違うっぽい? Type 3がなかった
  • IP フラグメンテーション ipfragments.pcap
    • Ethernet で 1回に送信できるパケットサイズ 1,500 byte
  • 接続不能 barryscomputer.pcap, bethscomputer.pcap
  • FTP サーバとの通信 ftpclientdenied.pcap, ftpserverdenied.pcap
    • サービスが稼働していない
    • 意図的にブロックされている
  • HTTP 403 Forbidden http-fault-post.pcap
    • 社内ネットワーク側かサーバー側かの判断をする
  • 悪魔のプログラム evilprogram.pcap
    • スパイウェアに感染した!
    • ポートスキャンっぽい
    • 正常な通信をフィルタする → WireShark の Fileter 機能を使う
    • DCERPC リモートからのプログラム実行

bkinst.exe をダウンロードしている。

このケースではバックグラウンドで稼働しているRPCサービスを利用して スパイウェアをダウンロードして実行していた。

CTP

コンピュータに関する知識を競うゲーム Packet Madness : パケット解析 CTF01.pcap のファイルの解析が問題でした。

とりあえずMacでの右クリックの方法がわからなかったので、 ほぼ何もできないでいたw 怪しそうな箇所の検討はつけていたのだけどねw

で、Mac版の WireShark の右クリックは(マウスない場合) 以下の操作でできます。

タッチパッド に指2本置いて、左をクリックすると表示できる。

CFP 回答

  • EUCの文字コード
  • のパターンが3つあるので、
  • それを全置換することで求める。

"赤い彗星" シャァ・アズナブル

LT SIN さん

  • WinPcap + C#

今のところ欠席していないので皆勤賞を目指してみよう!

[]